功能概述
API 接入是 AI Agent 安全网关提供的核心业务接入能力,用于将后端服务(通用 API、Mock API)安全、便捷地接入网关,实现对 API 流量的集中管控和安全防护。
通过 API 接入,用户可以在网关层面统一管理 API 的访问入口、后端路由和安全策略,享受以下核心价值:
协议适配:支持 HTTP/HTTPS 后端,自动处理请求转发与响应返回。
Mock 能力:支持创建 Mock API,无需真实后端即可完成前端联调与接口测试。
安全防护:在网关层统一配置流量控制、IP 黑白名单、插件鉴权等安全策略。
操作场景
本文介绍如何在 AI Agent 安全网关中完成 API 接入的全流程配置,将后端服务或 Mock 服务接入网关。
适用于以下场景:
需要将已有后端服务通过网关进行安全代理和访问控制。
需要创建 Mock API 用于前端开发联调或接口测试。
需要在 API 维度统一实施流量控制、IP 访问控制等安全策略。
前提条件
如需接入真实后端,需确保后端服务已部署且网络可达,并已获取后端服务的访问地址。
创建应用时如需配置登录认证,需已在鉴权配置 > 认证中心中创建 API 认证 和 MCP 认证,详情请参见 认证配置。
操作步骤
模型 API 接入的整体流程为:创建应用 → 新建 API → 关联应用与 API。
步骤一:创建应用
应用是 AI Agent 安全网关的业务管理入口,用于统一管理 MCP 和大模型服务的访问。所有大模型侧的流量统一以应用作为访问入口。
1. 登录 AI Agent 安全网关 页面,在左侧导航栏中,单击应用。
2. 在应用页面,单击新建应用。
3. 在新建应用弹窗中,配置以下参数:
参数 | 说明 |
应用名称 | 输入应用的名称,建议使用有业务含义的命名,例如"智能客服应用"。 |
认证类型 | APIKey:应用密钥,用于标识和验证应用的身份,确保 API 调用的安全性。 SecretKey:增强认证安全性,生成令牌或签名。 免认证:纯代理模式,关联的模型 API 和 MCP 资源无需凭据即可访问。 登录:即 OAuth2 认证,实现授权码流、客户端凭据等标准流程。需在已创建的 API 认证 和 MCP 认证中分别进行选择,可多选。 每种认证类型最多支持创建 10 条凭据数据;免认证类型无凭据,无需生成密钥。 |
应用描述 | 输入对该应用的描述信息,便于后续管理和识别。 |
4. 单击创建应用,完成应用创建。
创建成功后,系统将自动为认证方式为 APIkey 和 SecretKey 的应用生成一组默认凭据(APIKey 或 SecretKey),用于后续客户端调用网关时的身份验证。
说明:
为降低密钥泄露风险,仅在新建时提供默认凭据,后续不可再进行查询,请妥善保存默认凭据。
步骤二:创建 API
API 用于定义接入路由,将前端请求路径映射到后端服务,是连接应用和后端服务的桥梁。
1. 登录 AI Agent 安全网关控制台,在左侧导航栏中,选择 API > API 列表。
2. 在 API > API 列表页面,单击新建 API。
3. 在基础信息页面,填写 API 基本信息,单击下一步。
参数名称 | 参数说明 |
API 名称 | 自定义 API 的名称,用于标识和区分不同的 API。由64字符以内的中文、大小写字母、数字、下划线(_)、短横线(-)、英文括号(())或中文括号(())组成,在同一实例下必须唯一。 |
后端服务类型 | Restful:后端为标准的 HTTP/HTTPS 接口服务,需填写后端地址等信息。 数据库:后端直连数据库,需填写数据库类型、连接地址、账号密码等信息。 Mock:无需真实后端,由网关直接返回模拟响应,需填写响应码、响应头和响应体。 |
API 描述 | 填写该 API 的主要功能与使用场景说明。该描述信息会在调用时被传递给大模型,帮助大模型更好地理解 API 的用途。支持中文、英文、数字及常用字符,长度不超过1024个字符。 |
4. 在前后端配置页面,配置前端信息:
参数名称 | 参数说明 |
请求域名 | API 对外暴露的访问域名,由网关自动分配或用户自定义绑定,例如 api.example.com。客户端通过该域名访问 API。 |
请求路径 | 匹配方式: 前缀匹配:请求路径前缀一致即可匹配,支持子路径透传。 完全匹配:请求路径必须与配置值完全一致才能匹配。 正则匹配:请求路径满足配置的正则表达式即可匹配。 访问路径:API 的对外请求路径,以 /进行分割,例如/ebus/amp/rio/web。客户端请求时将匹配该路径进行转发。 |
请求方法 | 限制客户端调用 API 时使用的 HTTP 请求方法,支持 ANY(不限制)、GET、POST、PUT、DELETE、HEAD,默认 ANY。 |
请求头信息 | 启用后可根据请求头(Header)内容匹配请求,仅匹配的请求才会被转发到后端。适用于根据 User-Agent、Content-Type 等 Header 做路由区分的场景。 |
请求参数信息 | 启用后可根据请求参数(Query 或 Body 参数)内容匹配请求,仅匹配的请求才会被转发。适用于根据业务参数做路由区分的场景。 |
入参信息 | 启用后可对客户端传入的参数进行校验(如类型、格式、取值范围等),校验不通过时直接返回错误,不再转发到后端。 |
出参信息 | 启用后可对后端返回的参数进行校验,校验不通过时可触发拦截或告警,适用于保证返回数据合规性的场景。 |
5. 配置后端服务,根据基础信息中选择的后端服务类型,填写对应参数:
Restful:
参数名称 | 参数说明 |
后端服务配置 | 选择后端服务的来源方式: 自定义后端服务:手动填写后端地址。 后端服务组:选择已创建的后端服务组,便于统一管理多个后端节点。 |
后端配置类型 | 后端服务配置为自定义后端服务时,选择后端地址的填写方式: 域名/IP:直接填写后端服务器的域名或 IP 地址。 VPC:填写 VPC 内的服务地址,适用于后端服务部署在私有网络中的场景。 |
后端服务 | 后端服务类型为域名/IP 时填写后端服务的访问地址,格式为 {domain}:{port},例如api.example.com:8080。支持添加多条后端地址,并分别为每条地址配置转发权重(权重之和为100)。说明: 请注意域名/IP 为空时,请求该服务时无法转发到对应的服务 |
IP | 后端服务类型为 VPC 时填写后端服务的访问地址,格式为 {ip}:{port},例如10.0.1.10:8080。支持添加多条后端地址,并分别为每条地址配置转发权重(权重之和为100)。说明: 请注意 IP 为空时,请求该服务时无法转发到对应的服务 |
后端服务组 | |
负载方式 | 当配置了多个后端服务时,选择请求分发策略: 随机负载:使用网关集群,采用随机负载方案,每个请求落在随机的服务器。 会话保持:使用网关集群,采用一致性负载方案,同一个会话的请求会被转发到同一台服务器。 轮询:单工作进程内每个请求分配给服务器列表中的下一个服务器。 |
协议类型 | 网关与后端服务之间通信使用的协议,例如 http 或 https。 |
协议版本 | 网关与后端服务通信时使用的协议版本,例如 1.1(表示 HTTP/1.1)。 |
请求 host 类型 | 设置转发到后端的请求中 host 头的值: 修正为原站 host:使用后端服务地址中的 host。 保持原请求 host:保留客户端原始请求的 host。 自定义 host:手动指定要发送的 Host 值。 |
自定义 host | 请求 host 类型为自定义 host 时,手动指定要发送的 host 值。 |
后端路径 | 转发到后端的请求路径,支持256字符以内的非特殊字符。 |
超时时间 | 网关等待后端服务响应的最大时长,单位秒,最多60秒。超过该时间后端未响应,网关将返回超时错误。 |
version | 按 API 版本号进行路由转发,配置版本值(如 v1)与对应后端转发路径的映射关系。支持添加多条,不同版本的请求将转发到不同的后端路径。适用于版本灰度或多版本并存场景。 |
数据库:
参数名称 | 参数说明 |
数据源 | |
配置方式 | 选择数据库操作的配置方式: 脚本方式:直接编写 SQL 语句,灵活度高,适用于复杂查询或自定义 SQL 场景。 向导方式:通过可视化向导选择表和字段,无需编写 SQL,适用于简单查询场景。 |
SQL 语句 | 配置方式为 SQL 语句时,填写要执行的 SQL 语句。支持通过参数占位符(如 ${param})注入请求中的变量值,实现动态 SQL 查询。SQL 语句将在网关收到请求后,由网关代理执行并返回查询结果。 |
Mock
参数名称 | 参数说明 |
响应码 | 选择 Mock 响应的 HTTP 状态码,例如 200 OK。下拉选择常用状态码,表示网关直接返回给客户端的 HTTP 响应状态。 |
响应头 | 自定义 Mock 响应的 HTTP 响应头(Header)。以键值对形式添加,可配置多个字段名与对应值,例如 Content-Type: application/json。客户端将收到这些自定义响应头。 |
响应体 | 填写 Mock 返回的响应内容体(Body)。支持通过变量占位符注入请求中的动态参数值,实现带变量的 Mock 响应: ${query.a}:注入 URL 查询参数中名为 a 的值。${headers.x}:注入请求头中名为 x 的值。${body.b}:注入请求体中名为 b 的字段值。适用于需要根据入参动态构造响应内容的联调和测试场景。 |
6. 在高级配置页面,配置相关参数:
参数名称 | 参数说明 |
流量控制 | 开启后可自定义某个时间内最大请求次数、时间窗口长度、转发超时时间等。提供四种控制方法: 令牌桶:从固定容量的桶中取令牌,取不到的则触发限流。调整令牌桶容量可以限制请求的数量;调整令牌生成速率可以限制请求的速率。 漏斗:向固定容量的漏斗中加水,水溢出则触发限流。调整漏斗容量可以限制请求的数量;调整漏斗流速可以限制请求的速率。 滑动窗口:长度固定窗口向前滑动,请求固定进来占据位置,满则触发限流。调整窗口内最大请求次数可以限制请求的数量;调整窗口长度可以限制请求的速率。 时间窗口:调整时间窗口内最大请求次数可以限制请求的数量;调整时间长度可以限制请求的速率。 |
健康检查 | 开启后可定期对 API 的健康情况进行检查: 健康检查路径:网关定期访问的目标路径,后端需在此路径提供健康检查接口。 健康检查超时:等待响应的最大时长,最多60秒。 健康检查码:判定健康的 HTTP 状态码列表,如200,支持添加多个。 |
格式转换 | 开启后可对 API 的请求格式和响应格式进行转换: 请求资源类型:客户端请求的源数据格式。 请求目标类型:转发到后端的目标数据格式。 返回资源类型:后端返回的源数据格式。 返回目标类型:返回给客户端的目标数据格式。 |
IP 黑名单 | 开启后可限定指定的 IP 无法访问该模型 API,其他 IP 都可访问。单击 + 添加逐条录入 IP 地址。 |
IP 白名单 | 开启后只允许指定的 IP 访问该模型 API,其他 IP 都无法访问。单击 + 添加逐条录入 IP 地址。 |
限制特定用户访问 API | 限制特定用户访问API: 所用插件:下拉选择已安装的插件,如限制特定用户访问API。 插件设置名称:自定义配置名称,便于识别和区分。 插件设置说明:填写用途或业务背景说明。 优先级:数值越小优先级越高,默认1,多插件时按优先级顺序执行。 用户列表:用户 ID 列表,英文分号分隔,如 userid1;userid2。token:插件校验所需的 token。 |
7. 单击保存,即可完成创建 API。
8. 在 API 调试 页面,可以在配置完 API 后立即验证 API 的正确性,发起模拟 API 调用并查看具体请求响应。如果 API 未按照您期望的方式工作,可以根据响应,重新修改配置以符合您的设计期望。在调试页面,选择应用及发布的 API 后,单击调试,即可查看本次调试的返回结果。
步骤三:创建凭据(可选)
如需要对 API 进行鉴权访问,需先创建凭据,用于关联应用时的身份验证。
1. 登录 AI Agent 安全网关 页面,在左侧导航栏中,选择鉴权配置 > 凭据。
2. 在凭据页面,单击新建凭据。
参数名称 | 参数说明 |
凭据名称 | 自定义凭据的名称,由64字符以内的中文、大小写字母、数字、下划线(_)、短横线(-)、英文括号(())或中文括号(())组成。 |
认证类型 | 选择凭据的认证方式: 动态临时密钥:通过第三方授权系统生成临时访问密钥,适用于需要动态授权的场景。选择后需配置密钥授权系统和授权产品。 访问密钥:静态密钥对,通过请求头(Header)中的密钥名称和密钥值进行认证,适用于固定密钥的场景。 |
密钥授权系统 | 认证类型为动态临时密钥时,选择密钥的授权来源系统,例如腾讯云 CAM。下拉列表展示已对接的授权系统。 |
授权产品 | 认证类型为动态临时密钥时,选择该凭据授权访问的目标产品,例如日志服务(cls)、内容安全图片检测(ims)、内容安全文本检测(tms) 等。 |
Header | 认证类型为访问密钥时,配置用于认证的请求头参数,以键值对形式添加,支持添加多条: 密钥名称:Header 字段的名称,最长64字符。 密钥值:Header 字段的值,最长256字符。 请求时需在 Header 中携带配置的密钥名称和密钥值,网关将据此进行身份校验。 |
3. 单击确定,完成凭据创建。
步骤四:关联应用与 API
API 创建完成后,需要将其关联到应用中,客户端才能通过应用入口访问 API。
1. 在左侧导航栏中,单击应用。
2. 在应用页面,单击目标应用名称。
3. 在应用详情页面,单击关联 API。
4. 在关联 API 弹窗中,配置以下参数:
参数名称 | 参数说明 |
API 名称 | 下拉选择已创建的 API,支持按名称搜索。 |
是否鉴权 | 选择是否对此 API 启用鉴权: 是:需要选择凭据进行身份验证,客户端调用时必须携带对应凭据信息。 否:无需鉴权即可访问。 |
选择凭据 | 当是否鉴权选择是时,下拉选择已创建的凭据,用于 API 调用的身份验证。 |
流量控制 | 开启后可自定义某个时间内最大请求次数、时间窗口长度、转发超时时间等。提供四种控制方法: 令牌桶:从固定容量的桶中取令牌,取不到的则触发限流。调整令牌桶容量可以限制请求的数量;调整令牌生成速率可以限制请求的速率。 漏斗:向固定容量的漏斗中加水,水溢出则触发限流。调整漏斗容量可以限制请求的数量;调整漏斗流速可以限制请求的速率。 滑动窗口:长度固定窗口向前滑动,请求固定进来占据位置,满则触发限流。调整窗口内最大请求次数可以限制请求的数量;调整窗口长度可以限制请求的速率。 时间窗口:调整时间窗口内最大请求次数可以限制请求的数量;调整时间长度可以限制请求的速率。 |
注意:
若所选 API 已关联其他应用,关联后将自动解绑原应用。
5. 单击确定,完成关联配置。
6. 支持添加多条 API 关联,重复上述配置即可。
注意:
同一模型 API 、MCP Server、API 在同一时间只能被一种认证模式的应用有效关联。将应用与新资源关联时,该资源此前关联的其他应用将被自动解绑,请在操作前确认认证模式,避免影响已有应用的认证策略。
结果验证
完成上述配置后,可通过以下方式验证 API 是否创建成功:
1. 在API 管理列表页中,确认新建的 API 已显示在列表中,且状态为启用。
2. 使用应用的凭据,通过网关地址发起测试请求,确认能正常调用后端服务并获得响应。
APIKey/SecretKey 认证调用示例:
$ curl -X GET https://<网关域名>/<API路径> \\-H "<SECRET_ID>: <你的SecretId>" \\-H "<SECRET_KEY>: <你的SecretKey>"
免认证模式调用示例(无需凭据):
$ curl -X GET https://<网关域名>/<API路径>
参数说明:
参数 | 说明 |
网关域名 | AI Agent 安全网关分配的访问域名。 |
API 路径 | API 中配置的前端请求路径,请替换为实际值。 |
SecretId / SecretKey | 应用的凭据信息,填写创建应用时生成的默认凭据。 |
3. 若返回后端服务的正常响应结果,表示 API 接入配置成功,流量已通过 AI Agent 安全网关进行代理和防护。
